陰陽五行の世界
ビジネス関連

中小企業向けセキュリティ対策(1)ー経営者がやるべきことー

 

このページでは、IPAの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、解説していきます。

中小企業の場合、セキュリティ対策に充てられる人員や予算も限られていると思います。このサイトでは、誰でも共通して使える資料(規定やルールブックなど)はテンプレート化し、無料で使えるようにしていきますので、ご活用いただけますと、幸いです。

とらくん
とらくん
セキュリティ対策は難しそうだけど、順序立てて考えていけば、結構簡単だよ!
毘沙門天さん
毘沙門天さん
テンプレートもうまく使っていけば、効率的に進められるよ!

 

情報セキュリティ対策を行う目的

情報セキュリティ対策を行う目的は、自社を守ることです。

セキュリティ対策を怠ることで、企業にはさまざまな不利益が生じます。この不利益を生じさせないために、情報セキュリティ対策を実施しなければなりません。

①金銭を奪われてしまう・・・

取引先のデータや従業員/顧客の個人情報を万が一漏洩させてしまった場合、損害賠償請求を受ける可能性があり、大きな経済的損失が発生します。

また、最近では様々なサービスがインターネット上のクラウドサービスとして提供されています。本物のサービスに似せて作ったフィッシングサイトにお金を送金してしまったり、身代金要求型ウィルスに感染して、身代金を払ってしまったりと、直接的に金銭を奪われてしまいます。

毘沙門天さん
毘沙門天さん
サイバー攻撃への備えをしていないと、いざ発生した時に混乱するよ!どうするかだけでも考えておこう!

②顧客を失ってしまう・・・

サイバー攻撃被害やウィルス感染被害など、なにかのセキュリティ事故が発生してしまうとその原因がなんであれ、事故が発生した企業に対する管理責任が問われ、社会的評価が下がってしまいます。

本当は被害者なのに、管理責任を問われてしまいます・・・。

お客さんの立場で考えると、セキュリティ事故が発生した企業に仕事をお願いするのを控えるのは当然の動きです。結果的にお客さんを失ってしまいます。

福禄寿さん
福禄寿さん
あの会社は被害者だったのに、倒産してしまった。可哀そうじゃのう・・・

③通常業務が止まってしまう・・・

ひとたび、セキュリティ事故が発生してしまうと、ほぼ通常業務が止まります

「セキュリティ事故が発生したのに普通に業務を継続をしていた」となれば、それこそ社会的な責任を果たすことができませんので、止めざるを得ません。

その後も、事故の原因究明、顧客や取引先への連絡/説明、インターネット利用停止、緊急のセキュリティ対策・・・など、やるべきことが一気に押し寄せてきます。

結果、納期遅れ・営業機会損失などが生じ、事業全体に影響がでてしまいます。

うまくん
うまくん
電話が鳴りやまなくて、何も仕事できないよ

④職場環境が暗くなる・・・

セキュリティ事故が起きると、職場環境が暗くなります。

事故を起こした従業員はもちろん、その管理者もなにかしらの懲罰を受けることになります。会社に対しても、悪いイメージもついてしまいますから、離職者も出てきます。

再度セキュリティ事故を発生させないように、必要以上に厳しいセキュリティルールを設けたり、従業員に誓約書を書かせたりするケースもあります。

従業員の働く意欲が薄れていき、職場環境が暗くなってしまいます。

恵比寿さん
恵比寿さん
なんだかみんな暗いなぁ。辞めていく人も増えたような・・・

 

経営者/役員/担当者に問われる法的責任

企業が法的に管理義務がある情報を適切に管理していなかった場合、以下法律に抵触し、法的責任を問われることになります。

上記①~④の不利益を気にしなかったとしても、法的責任を受けないためにセキュリティ対策は必須です。

法令 概要
個人情報保護法 個人情報の保護に関する法律
マイナンバー法 マイナンバーの利用等に関する法律
不正競争防止法 営業秘密・限定提供データに係る不正行為の防止法律
金融商品取引法 インサイダー取引規制に関する法律
民法 709条 不正行為による損害賠償など

 

 

経営者がやるべきこと(経営者の3原則)

セキュリティ対策は、実務担当者だけで実現することは不可能です。

経営者も自分の役割をしっかり認識して進めないと、中途半端なセキュリティ対策となってしまい、いつまでたってもセキュリティ事故が発生したり、費用の無駄遣いにもなりかねません。

原則1 経営者がリーダーシップを持つ

セキュリティ対策内容を考えるのは、実務担当者の役割ですが、その対策内容の重要性を認識し、一般従業員に対して指示するのは、経営者の重要な役割です。

一般従業員にしてみれば、セキュリティ対策を行うことによって、利便性が低下します。面倒なチェック作業やパソコンへのセキュリティソフトインストールなど、面倒ごとが増えてしまいます。

一般従業員に対して、セキュリティ対策の重要性を説明し、全社一丸となっての対策実施を指示しましょう。

恵比寿さん
恵比寿さん
みんな、ちゃんと対策するように!
へびくん
へびくん
はーい!

原則2 委託先の情報セキュリティ対策まで把握する

外部企業に業務を委託している場合、委託先企業のセキュリティ対策状況も把握する必要があります。委託先企業の不備であったとしても、委託元としての管理責任が問われます。

委託先企業に対しても、自社と同等のセキュリティ対策を実施するよう要請し、対策実施状況を把握しましょう。

へびくん
へびくん
あの会社は要請しても、やってくれません。どうしましょう・・・
恵比寿さん
恵比寿さん
あの会社の社長に対して、きちんと言っておくよ!

原則3 関係者とは常にコミュニケーションをとる

従業員および、社外関係者とは、常にコミュニケーションを取れる状態を作りましょう。

社内でセキュリティ事故が発生していたとしても、事故情報が経営者まで上がってこず、経営判断が遅れることもありえます。

また、事故発生後も社外関係者へ迅速に報告を行わないと、報告遅れを指摘され、信用失墜につながりかねません。

関係者とは常にコミュニケーションを取れる関係性を築いておきましょう。

恵比寿さん
恵比寿さん
なにか、困ったことがあったら、なんでも相談してね♪

 

経営者がやるべきことは、以上です。

次は、重要な取り組み事項を説明します。